PRIMEPEPTIDES — Amalan Privasi
*(Dokumen ini menerangkan AMALAN OPERASI harian kami dalam mengendalikan data pesakit. Dokumen ini berbeza daripada dan melengkapi Dasar Privasi (Privacy Policy) rasmi PRIMEPEPTIDES, yang menerangkan hak dan asas perundangan pemprosesan data secara lebih menyeluruh.)*
1. Pengenalan
PRIMEPEPTIDES ("kami") ialah perkhidmatan telehealth yang beroperasi di bawah domain theprimepeptide.com, menyediakan akses kepada rawatan Mounjaro (Tirzepatide) dan Retatrutide melalui penilaian dalam talian dan konsultasi doktor bertauliah. Kerana kami mengendalikan data kesihatan yang sensitif, dokumen Amalan Privasi ini disediakan sebagai penjelasan telus tentang bagaimana data pesakit dikendalikan dari hari ke hari di dalam organisasi kami — siapa yang boleh mengaksesnya, di mana ia disimpan, langkah keselamatan yang diambil, dan apa yang berlaku jika sesuatu tidak kena.
Amalan ini disediakan selaras dengan semangat Akta Perlindungan Data Peribadi 2010 (PDPA) dan semangat Piagam Pesakit Malaysia (Kementerian Kesihatan Malaysia), tanpa mendakwa pensijilan atau pematuhan rasmi tertentu yang belum disahkan.
2. Skop dan Tujuan Amalan Privasi Ini
Amalan Privasi ini terpakai kepada semua data yang dikumpul melalui:
- Kuiz penilaian kelayakan dalam talian di laman web theprimepeptide.com;
- Perbualan konsultasi melalui saluran WhatsApp rasmi (+60 11-1506 8886);
- Surat-menyurat emel rasmi (hello@primepeptides.com);
- Rekod preskripsi, penghantaran ubat, dan pembayaran/ansuran yang berkaitan dengan rawatan.
Tujuan dokumen ini adalah untuk memberi pesakit keyakinan tentang kawalan dalaman yang kami amalkan — bukan sekadar dasar bertulis, tetapi amalan sebenar pasukan kami.
3. Kawalan Akses Staf Kepada Data Pesakit
Kami mengamalkan prinsip akses terhad mengikut keperluan tugas ("need-to-know basis"). Ini bermakna:
- Hanya kakitangan yang mempunyai peranan operasi atau klinikal yang berkaitan secara langsung dengan kes pesakit dibenarkan mengakses data peribadi dan data kesihatan pesakit tersebut.
- Doktor bertauliah (contoh: [Nama Doktor Bertauliah], No. Pendaftaran MMC: [No. Pendaftaran MMC]) mengakses rekod penilaian kesihatan, sejarah perubatan, dan perbualan konsultasi semata-mata untuk tujuan membuat keputusan klinikal dan preskripsi.
- Staf sokongan operasi/logistik (contoh: pengesahan pesanan, urusan penghantaran) hanya diberi akses kepada maklumat yang diperlukan untuk memproses dan menghantar ubat (contoh: nama, alamat penghantaran, nombor pesanan) — bukan maklumat klinikal terperinci melainkan benar-benar perlu.
- Staf khidmat pelanggan/WhatsApp hanya melihat perbualan dan maklumat yang berkaitan dengan sesi yang mereka kendalikan.
- Setiap akaun staf yang mengakses sistem data pesakit adalah individu (bukan akaun kongsi), bagi membolehkan jejak audit ("audit trail") jika diperlukan.
- Staf baharu diwajibkan menandatangani perjanjian kerahsiaan (Non-Disclosure Agreement) dan menerima taklimat ringkas tentang tanggungjawab menjaga kerahsiaan data pesakit sebelum diberi sebarang akses.
- Akses kepada data pesakit ditarik balik serta-merta apabila seseorang staf tamat perkhidmatan atau bertukar peranan yang tidak lagi memerlukan akses tersebut.
Entiti pendaftaran yang bertanggungjawab ke atas amalan ini ialah [Nama Syarikat Berdaftar] (No. Pendaftaran SSM: [No. Pendaftaran SSM]).
4. Lokasi dan Kaedah Penyimpanan Data
- Data pesakit (maklumat kuiz kelayakan, rekod konsultasi, preskripsi, dan rekod penghantaran) disimpan secara digital di [platform/pembekal storan data — nyatakan lokasi/rantau pelayan] yang dipilih berdasarkan piawaian keselamatan industri.
- Perbualan konsultasi melalui WhatsApp disimpan mengikut infrastruktur rasmi saluran WhatsApp Business yang kami gunakan, dan disandarkan (backup) mengikut jadual dalaman kami untuk tujuan rekod klinikal dan susulan rawatan.
- Salinan fizikal (jika ada, contoh: dokumen sokongan preskripsi ubat kompaun Retatrutide yang diimport melalui farmasi bertauliah) disimpan di premis terkawal dengan akses terhad, dan dimusnahkan secara selamat apabila tempoh penyimpanan tamat (rujuk Seksyen 11).
- Kami tidak menyimpan data pesakit di peranti peribadi staf. Semua akses adalah melalui sistem/akaun kerja rasmi yang dikawal oleh syarikat.
5. Langkah-Langkah Keselamatan Teknikal
Antara langkah keselamatan teknikal am yang kami amalkan untuk melindungi data pesakit:
- Penyulitan (encryption) bagi data semasa penghantaran (contoh: sambungan HTTPS/TLS pada laman web dan borang dalam talian).
- Penyulitan data semasa disimpan (data at rest) di sistem storan yang digunakan, mengikut keupayaan platform berkenaan.
- Kata laluan dan pengesahan akses yang diwajibkan bagi setiap akaun staf yang mengakses sistem data pesakit; disyorkan pengesahan dua langkah (2FA/MFA) di mana platform membenarkannya.
- Kawalan akses berperingkat seperti dijelaskan di Seksyen 3, disokong oleh log akses sistem apabila tersedia pada platform yang digunakan.
- Kemas kini keselamatan (security updates) dan semakan sistem secara berkala bagi platform dan aplikasi yang digunakan untuk mengendalikan data pesakit.
- Sandaran data (backup) dibuat secara berkala untuk mengelakkan kehilangan rekod akibat kegagalan teknikal.
*Nota: Butiran teknikal spesifik (contoh: nama pembekal storan awan, piawaian penyulitan tepat) diberi sebagai placeholder buat masa ini dan perlu disahkan/diisi oleh pasukan teknikal serta disemak oleh pegawai pematuhan sebelum diterbitkan.*
6. Perkongsian Data Dengan Pihak Ketiga Yang Terlibat Dalam Rawatan
Oleh kerana rawatan melibatkan proses penghantaran ubat dan (bagi Retatrutide) pengimportan ubat kompaun melalui farmasi bertauliah dari Amerika Syarikat, sebahagian data pesakit yang minimum dan perlu (contoh: nama, alamat penghantaran, preskripsi) dikongsi secara terkawal dengan:
- Farmasi bertauliah yang menyediakan dan membekalkan ubat berkenaan;
- Rakan kurier/penghantaran yang mengendalikan penghantaran ubat ke rumah pesakit dalam masa 48 jam, dalam pembungkusan sulit (tanpa label yang mendedahkan kandungan atau jenis rawatan).
Perkongsian data ini adalah terhad kepada maklumat yang perlu sahaja untuk memenuhi tujuan tersebut, dan pihak ketiga berkenaan dikehendaki menjaga kerahsiaan maklumat pesakit.
7. Prosedur Tindak Balas Sekiranya Berlaku Kebocoran Data
Sekiranya berlaku insiden keselamatan data (contoh: akses tanpa kebenaran, kehilangan peranti yang mengandungi data pesakit, atau pelanggaran sistem), kami akan mengambil langkah berikut:
1. Pengesanan dan pembendungan — insiden dikenal pasti dan langkah segera diambil untuk menghentikan/membendung akses tanpa kebenaran.
2. Penilaian impak — pasukan dalaman menilai jenis dan skop data yang terjejas, serta bilangan pesakit yang berkemungkinan terlibat.
3. Pemberitahuan — pesakit yang terjejas akan dimaklumkan [tempoh masa spesifik untuk diisi/disahkan pematuhan] melalui saluran rasmi (emel hello@primepeptides.com dan/atau WhatsApp), berserta penjelasan tentang data yang terlibat dan langkah yang disyorkan kepada pesakit.
4. Pelaporan kepada pihak berkuasa — jika dikehendaki oleh undang-undang yang berkuat kuasa, laporan akan dibuat kepada pihak berkuasa perlindungan data yang berkaitan mengikut tempoh masa yang ditetapkan oleh undang-undang.
5. Pemulihan dan pembetulan — punca insiden disiasat, dan langkah pembetulan/penambahbaikan sistem dilaksanakan untuk mengelakkan pengulangan.
6. Rekod insiden — setiap insiden direkodkan secara dalaman untuk tujuan audit dan penambahbaikan berterusan.
Pesakit yang mempunyai sebarang kebimbangan berkaitan keselamatan data boleh menghubungi kami terus melalui hello@primepeptides.com atau WhatsApp +60 11-1506 8886.
8. Penggunaan Cookie dan Alat Analitik di Laman Web
Laman web theprimepeptide.com mungkin menggunakan cookie dan alat analitik pihak ketiga bagi tujuan berikut secara am:
- Cookie fungsian — untuk memastikan laman web berfungsi dengan baik (contoh: mengingati kemajuan pengisian kuiz kelayakan dalam satu sesi).
- Cookie analitik — untuk memahami secara am bagaimana pelawat menggunakan laman web (contoh: bilangan pelawat, halaman yang dilawati, tempoh lawatan), bagi tujuan penambahbaikan pengalaman pengguna.
- Cookie pemasaran/penjejakan (jika digunakan) — untuk mengukur keberkesanan kempen pemasaran, tertakluk kepada persetujuan pelawat mengikut keperluan undang-undang yang berkenaan.
Pelawat boleh mengurus atau melumpuhkan cookie melalui tetapan pelayar mereka sendiri. Melumpuhkan sesetengah cookie mungkin menjejaskan fungsi tertentu di laman web (contoh: kuiz kelayakan tidak dapat menyimpan kemajuan).
*Nota: Senarai tepat alat analitik/pihak ketiga yang digunakan (contoh: nama platform analitik) perlu diisi dan disahkan oleh pasukan teknikal sebelum penerbitan, bagi memastikan ketepatan dan pematuhan.*
9. Data Peranti dan Pelayar Yang Dikumpul Semasa Melayari
Semasa pelawat melayari laman web kami, sistem mungkin mengumpul secara automatik data teknikal am seperti:
- Jenis dan versi pelayar (browser) yang digunakan;
- Jenis peranti (contoh: telefon pintar, komputer riba) dan sistem pengendalian;
- Alamat IP (secara am, untuk tujuan keselamatan dan analitik agregat, bukan untuk mengenal pasti individu secara khusus melainkan diperlukan untuk siasatan keselamatan);
- Laman rujukan (referrer) — laman yang membawa pelawat ke laman web kami;
- Masa dan tarikh lawatan, serta halaman yang dilayari.
Data ini digunakan secara am untuk tujuan keselamatan laman web, penyelesaian masalah teknikal, dan pemahaman corak penggunaan laman web secara agregat — bukan untuk membuat keputusan klinikal.
10. Tempoh Penyimpanan Data
- Rekod klinikal (penilaian kelayakan, konsultasi, preskripsi) disimpan selagi perlu bagi tujuan rawatan berterusan dan susulan keselamatan pesakit, serta [tempoh minimum mengikut keperluan berkanun/garis panduan klinikal — untuk disahkan oleh pegawai pematuhan].
- Data pesakit yang tidak lagi diperlukan akan dipadam atau dinyahkenal-pasti (anonymised) secara selamat mengikut prosedur dalaman.
- Data analitik/cookie am disimpan mengikut tempoh lalai platform analitik yang digunakan, dan boleh dipendekkan mengikut permintaan pelawat di mana secara teknikal boleh dilaksanakan.
11. Hak Pesakit Berkaitan Data Peribadi
Selaras dengan semangat PDPA 2010, pesakit berhak untuk:
- Meminta akses kepada data peribadi mereka yang disimpan oleh kami;
- Meminta pembetulan data yang tidak tepat;
- Menarik balik persetujuan pemprosesan data (tertakluk kepada keperluan rekod klinikal yang mungkin perlu dikekalkan mengikut undang-undang);
- Mengemukakan pertanyaan atau aduan berkaitan pengendalian data mereka.
Semua permintaan sedemikian boleh dikemukakan melalui hello@primepeptides.com atau WhatsApp +60 11-1506 8886, dan akan dilayan oleh [Nama Pegawai Pematuhan Data Peribadi / peranan yang bertanggungjawab].
12. Kemas Kini Kepada Amalan Privasi Ini
Amalan Privasi ini boleh dikemas kini dari semasa ke semasa bagi mencerminkan perubahan dalam operasi, teknologi, atau keperluan perundangan. Sebarang kemas kini ketara akan dimaklumkan melalui laman web theprimepeptide.com. Tarikh kemas kini terakhir: [Tarikh Kemas Kini].
13. Hubungi Kami
Sebarang pertanyaan berkaitan Amalan Privasi ini boleh disalurkan kepada:
- WhatsApp (rasmi): +60 11-1506 8886
- Emel: hello@primepeptides.com
- Entiti berdaftar: [Nama Syarikat Berdaftar] (No. Pendaftaran SSM: [No. Pendaftaran SSM])
[DRAF — perlu semakan peguam/pegawai pematuhan sebelum diterbitkan secara rasmi]